不正リスクを洗い出すために獅子身中の虫になる(JBRその3)

これまで2回にわたって解説したJBRの事例では、調査報告書の提言である「新規事業あるいは異業種へ参入する場合のビジネスモデルやビジネスリスクを、事前あるいは早期に、かつ正確に把握する体制を構築することが、新規事業における不正の早期発見には重要であると思料する(調査報告書P53より)」を受けて、業務プロセスに係る内部統制の評価という観点から掘り下げ、内部監査部門にとって一般的な示唆を得ようというものでした。

ところで、本事案では、JBR内部監査の過程で、共謀による虚偽説明や虚偽資料の提示があったため、不適切な売上計上の発見が困難となった事実がありました。3回目の今日は、「共謀による不正リスク」に着目して、不正リスクの洗い出し方や内部統制の限界との関係について考えてみます。

本事案における共謀の例

不正行為は単独で実行される場合もありますが、組織内部または外部の者が関与して、すなわち、「共謀」して実行される場合もあります。この共謀は、内部統制の固有の限界の一つとして、内部統制がその目的の達成を絶対的に保証できないという話につながります。

共謀には、「内部共謀」と「外部共謀」がありますが、本事案における共謀を例に分類すると次のような内容です。

区分 本事案の例
内部共謀
  • Y氏は売上計画に大きな齟齬が生じないよう、毎月の売上計上額の目安を決定し、出来高明細書のデータを他の社員に作成させていた
  • Y氏は検収書などに依拠した金額の売上の先行計上を経理担当者に指示していた
  • Y氏は検収書および出来高明細書と合計額が一致し、他方でサンプル抽出された作業報告書とも整合するよう、全く虚偽の内容の全体案件管理表をE氏に作成させていた
外部共謀
  • X氏は検収書などへの捺印を現場事務所所長に依頼し、検収印を得ていた

また、共謀への関与の仕方で見てみると、

内部共謀におけるY氏と他者
Y氏=不正の意思決定、実行への誘導
他の社員、経理担当者、E氏=不正の実行・行為者
外部共謀におけるX氏と他者
X氏=不正の意思決定、実行への誘導
現場事務所所長=外部者からの協力者

内部共謀では、一般的に、不正に対する積極的な関与があったかどうかによって「組織的な関与」があったかどうか判断することもあります。これら共謀による不正があると、内部統制が意図したとおりに機能しないため、いわゆる内部統制の限界として説明されることが多いのです。

調査報告書における評価

本事案は、JBR本体ではなく子会社の不適切な会計処理であることや、新規事業に対する内部統制の構築・評価であることに加えて、共謀という内部統制の限界とされる要素が加わっています。したがって、不正が行われた場合には、たとえ親会社が内部監査を通じてその業務運用をモニタリングしていたとしても、発見ないしは端緒をつかむというのは困難だったと思います。

調査報告書においても、新規事業における不正の早期発見の重要性は強調しつつも、内部監査の過程で発生した問題の概要と再発防止策については、共謀による不正があったことを背景にしたメッセージとなっています。

(前略)RCMの変更理由について、同じJBRの従業員であるY氏が虚偽の説明を行い、変更後に行われた内部監査においても、E氏から虚偽の内容の「全体案件管理表」が提供されており、これらを前提に「検収書」を基準とするRCMの変更を容認し、また変更したRCMに基づいて行った内部監査の結果、問題を発見できなかったとしても、それはいわば内部統制システム上の限界といえ、いずれも内部監査室に落ち度があったとまで評することはできない。
また、前期同様、サンプル数を増やせば不適正な売上計上を発見できた可能性はあるが、前述のとおり、統制上問題が生じているおそれを認識していなければ、サンプル数を増やす必要性があるとは必ずしもいえず、また、サンプルを増やしても、事後的に作成・提出された虚偽の内容のサンプルを提出される可能性も否定できない。
以上から、RCMの整備及びこれに基づく監査の結果について、客観的には問題があるも、内部監査室が行ったRCMの構築及び監査の内容に問題があったとはいえない。
(調査報告書P49から引用、太字は筆者)

(6) 内部監査室の拡充
前述のとおり、本件において内部監査室の行ったRCMの作成及びこれに基づく監査が不適切であったとはいえないものの、Y氏らが意図的に虚偽の事実の説明を行い、また虚偽の資料を提出したため、結果的には適切でない内容へRCMが変更され、不適正な売上計上の発見が困難となった事実が認められる。権限のある者による意図的な不正の発見は困難といえるが、(中略)、不正の程度がエスカレートしており、内部監査室のスタッフがより充実し、監査対象のサンプル件数を増やすことができていれば、より早期の発見も不可能ではなかったはずである。
この点で、内部監査室の拡充は、重要な経営課題であると思料する。
(調査報告書P54から引用)

共謀による不正(内部統制の限界)へ対応するために

それでは、共謀による不正は内部統制の限界につながるということは理解できたとして、内部監査部門は共謀による不正にどのように向き合えば良いのでしょうか。

その一つの方法が、業務フローのような可視化ドキュメントの活用です。これまで本事案に関する2回のエントリーでは、ビジネスモデルとビジネスリスクを把握し、それが企業内のどの組織・業務プロセスに影響を与え、最終的にどのような財務報告上のリスクになるかを考えるためには、業務フローのような可視化ドキュメントを作成し、コミュニケーションツールとして活用することが有用であると伝えてきました。

実は、共謀による不正リスクをはじめ、現場で起こる不正リスクの認識も、業務フローをじっくりと分析することによって洗い出しやすくなります。

ただし、通常の財務報告リスクの洗い出しのときとは少し違って、頭のスイッチを切り替える必要があります。

獅子身中の虫になる

この頭のスイッチを切り替える方法というのは、共謀による不正に限らず、広く不正リスクを洗い出すときに有効です。

私たちが財務報告リスクを洗い出すときは、業務処理上のミスなどを考えて、それが勘定科目・アサーションを通じてどのように財務報告を歪めるのかを検討します。その際、業務の効率性を落とすことがないように、現実に起こらなそうなミスなど、過度に軽微なリスクまで洗い出さないように気を付けると思います。そして、不正リスクについては、世間では不正は後が絶たないと知りながら、一方で、自分の会社には関係ないだろうと、どこか別の世界の問題と捉えてしまいがちです。

しかし、自社ではこれまで不正は起きたことがない、これからも起きることは想定されない、という先入観が不正リスクの認識を鈍らせてしまうのです。

たしかに、業務フローをじっくり分析するにあたって、どこでどのような不正が起きそうか具体的に考えるといっても、実際に業務を遂行している人、つまり、自分の会社の特定の人を思い浮かべて不正リスクを検討するのは、心理的に抵抗を感じる、という人もいるかもしれません。そこで、今回は、頭のスイッチを切り替えやすくする「獅子身中の虫」という言葉を紹介します。

獅子身中の虫(しししんちゅうのむし)
獅子の身中にすんで、これの恩恵を蒙っている虫が、かえって獅子の肉を食ってこれに害毒を与える意。仏徒でありながら仏法に害をなすもののたとえ。また、内部にいて恩恵をうけながら、害をなすもののたとえ。
([出典:梵網経]広辞苑より)

この獅子身中の虫は、不正によって組織に大きな被害(金銭的損害、社会的信頼の失墜など)を与える者は、組織の外にいるのではなくて、組織の中にいるのだという意味にとれます。

共謀をはじめ不正リスクの認識も業務フローをじっくりと分析することによって洗い出しやすくなるというのは、具体的には、自分が獅子身中の虫になったつもりで、自分の会社の内部統制の穴を探してみるということです。多くの場合、親しい人・特定の人の顔を思い浮かべると普段の付き合いや振る舞い、会社への貢献度などからリアルな感覚に引き摺られて「いや、あの人がそんなことは・・・考えにくい」ということになると思います。

でもこの方法は、自分自身が虫になりきるのです。そして、内部統制のしくみを熟知していることをフルに活かして「自分だったらこうするかな」と虫の役を演じます。演じるわけですから、親しい人・特定の人を悪く思うこともなく、心理的な抵抗は少ないはずです。

内部統制の限界を大きくする

内部監査部門のメンバーが複数いたら、ワークショップ形式など、皆で洗い出してもいいと思います。そして虫になりきって洗い出した共謀その他の不正リスクについて、一つ一つ現状の内部統制の強度を検討して見直します。通常のコントロール(承認、照合など)がなければ追加をし、すでに組み込まれている場合でも、以下のような打ち手が必要ないか検討してみます。

  • 特定の者に権限を集中しない
  • (上記とも重なりますが)他部門・担当者など複数人を業務に関与させる
  • 定期的に担当をローテーションする
  • 内部監査人が直接コントロールを(再)実施する

このような不正リスクを認識するアンテナの感度をあげることによって、追加的なコントロールを組み込める可能性があります。

これがもし、共謀による不正リスクに対してコントロールを組み込めた場合、従来は共謀=内部統制の限界とされていたラインが大きくなることもあります。

前回、本事案で業務フローの変更に伴って認識できたかもしれない追加リスクとして「得意先が認識している出来高明細と異なる内容で検収書を作成してしまい、売上・売掛金を過大または過少に計上するリスク」をあげました。このリスクの「作成してしまい」という記述は、”人が誤って”という業務上の誤りに起因するリスクです。

しかし、獅子身中の虫になりきった場合、「現場事務所所長と共謀して検収印を押した検収書を偽造できる」という想像からリスクを洗い出すかもしれません。それに対して、後工程のプロセスで対応(例えば、請求書控えとの照合や回収差異の分析など)すれば、この共謀による不正リスクは内部統制の限界とはなりません。

一つの例ですが、獅子身中の虫になりきって「~たら」「~れば」の話をすることで、もしかしたら共謀による内部統制の限界ラインを大きくすることができるかもしれません。

まとめ

不正リスク対応基準やCOSO2013(新COSOレポート)において、不正への対応が重視されています。今期の内部統制の整備状況評価では、今一度、既存の内部統制文書(業務フロー、RCM)を獅子身中の虫になったつもりでレビューし、不正リスクについて考えてみることをおススメします。この作業自体が不正リスク対応基準における監査人対応やCOSO2013への対応そのものになりますから。

本記事は、本事案と同様のことが一般的にも起こりうることを鑑み、新規事業の(不正)リスク認識および内部統制変更時のリスク再評価の重要性を伝えることを目的に書いています。従いまして、特定の会社の経営管理のしくみや第三者委員会の調査報告書の内容を批判・批評することを目的としていないことをご理解ください。
JBRでは、2014年6月2日付けの第三者委員会の調査報告書受領後、再度7月25日付でも別の第三者委員会から調査報告書を受領しています。本記事の記載にあたって、参考にしたのは6月2日付の調査報告書です。また、業務プロセス・内部統制に関する記載事項は、調査報告書から筆者が理解し、不明な部分は一部推測により補っています。